Gestión de eventos e información de seguridad (SIEM)

La gestión de eventos e información de seguridad (SIEM, por Security Information and Event Management) es un enfoque de gestión de la seguridad que busca proporcionar una visión holística de la seguridad de la tecnología de la información (TI) de una organización. El acrónimo se pronuncia "sim" con una e silenciosa.

El principio subyacente de un sistema SIEM es que los datos relevantes sobre la seguridad de una empresa se producen en múltiples ubicaciones, y al ser capaces de ver todos los datos desde un único punto de vista, es más fácil detectar tendencias y ver patrones fuera de lo común. SIEM combina funciones de SIM (gestión de información de seguridad) y SEM (gestión de eventos de seguridad) en un sistema de gestión de seguridad.

Un sistema SEM centraliza el almacenamiento y la interpretación de los registros y permite un análisis casi en tiempo real que permite al personal de seguridad tomar medidas defensivas más rápidamente. Un sistema SIM recopila los datos en un repositorio central para el análisis de tendencias y proporciona informes automatizados para el cumplimiento y la generación de informes centralizados. Al unir estas dos funciones, los sistemas SIEM proporcionan una identificación, un análisis y una recuperación más rápidos de los eventos de seguridad. Esto también permite a los administradores de cumplimiento confirmar que están cumpliendo con los requisitos de cumplimiento legal de una organización.

Un sistema SIEM recoge registros y otra documentación relacionada con la seguridad, para ser analizados. La mayoría de los sistemas SIEM funcionan desplegando múltiples agentes de recopilación de forma jerárquica para recopilar eventos relacionados con la seguridad de dispositivos de usuario final, servidores, equipos de red e incluso equipos de seguridad especializados como firewalls, antivirus o sistemas de prevención de intrusiones. Los recolectores envían eventos a una consola de administración centralizada, que realiza inspecciones y señala anomalías. Para permitir que el sistema identifique eventos anómalos, es importante que el administrador de SIEM cree primero un perfil del sistema en condiciones normales de evento.

En el nivel más básico, un sistema SIEM puede estar basado en reglas o emplear un motor de correlación estadística para establecer relaciones entre entradas de registro de eventos. En algunos sistemas, el procesamiento previo puede ocurrir en los colectores de borde, con sólo ciertos eventos pasando a través de un nodo de administración centralizada. De esta manera, se puede reducir el volumen de información que se comunica y almacena. El peligro de este enfoque, sin embargo, es que eventos relevantes pueden ser filtrados demasiado pronto.

Los sistemas SIEM son típicamente caros para desplegar y son complejos de operar y administrar. Mientras que el cumplimiento del estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) ha impulsado tradicionalmente la adopción de SIEM en grandes empresas, las preocupaciones sobre amenazas persistentes avanzadas han llevado a las organizaciones más pequeñas a considerar los beneficios que ofrece un proveedor de servicios de seguridad administrada por SIEM.